Ringkasan Cloud VPN

Halaman ini menjelaskan konsep yang terkait dengan Cloud VPN. Untuk definisi istilah yang digunakan dalam dokumentasi Cloud VPN, lihat Istilah utama.

Cloud VPN memperluas jaringan peer dengan aman ke jaringan Virtual Private Cloud (VPC) melalui koneksi IPsec VPN. Koneksi VPN mengenkripsi traffic yang beralih di antara jaringan, dengan satu gateway VPN menangani enkripsi dan gateway lainnya menangani dekripsi. Proses ini melindungi data Anda selama transmisi. Anda juga dapat menghubungkan dua jaringan VPC bersama-sama dengan menghubungkan dua instance Cloud VPN. Anda tidak dapat menggunakan Cloud VPN untuk merutekan traffic ke internet publik; Cloud VPN dirancang untuk komunikasi aman antar-jaringan pribadi.

Memilih solusi jaringan hybrid

Untuk menentukan apakah akan menggunakan Cloud VPN, Dedicated Interconnect, Partner Interconnect, atau Cloud Router sebagai koneksi jaringan hybrid ke Google Cloud, lihat Memilih produk Network Connectivity.

Coba sendiri

Jika Anda baru menggunakan Google Cloud, buat akun untuk mengevaluasi bagaimana Cloud VPN berperforma dalam skenario dunia nyata. Pelanggan baru mendapatkan kredit gratis senilai $300 untuk menjalankan, menguji, dan men-deploy workload.

Coba Cloud VPN gratis

Untuk meningkatkan keamanan koneksi Dedicated Interconnect atau Partner Interconnect, gunakan VPN dengan ketersediaan tinggi (HA) melalui Cloud Interconnect. Solusi ini membuat tunnel VPN dengan ketersediaan tinggi (HA) terenkripsi melalui lampiran VLAN Anda.

Jenis Cloud VPN

Google Cloud menawarkan dua jenis gateway Cloud VPN:

VPN dengan ketersediaan tinggi (HA)

VPN dengan ketersediaan tinggi (HA) adalah solusi Cloud VPN yang memungkinkan Anda menghubungkan jaringan lokal ke jaringan VPC dengan aman melalui koneksi VPN IPsec. Berdasarkan topologi dan konfigurasi, VPN dengan ketersediaan tinggi (HA) dapat memberikan SLA ketersediaan layanan sebesar 99,99% atau 99,9%.

Saat Anda membuat gateway VPN dengan ketersediaan tinggi (HA), Google Cloud akan otomatis memilih dua alamat IP eksternal, yakni satu untuk setiap antarmuka. Setiap alamat IP dipilih secara otomatis dari kumpulan alamat unik untuk mendukung ketersediaan tinggi. Setiap antarmuka gateway VPN dengan ketersediaan tinggi (HA) mendukung beberapa tunnel. Anda juga dapat membuat beberapa gateway VPN dengan ketersediaan tinggi (HA). Saat Anda menghapus gateway VPN dengan ketersediaan tinggi (HA), Google Cloud akan merilis alamat IP untuk digunakan kembali. Anda dapat mengonfigurasi gateway VPN dengan ketersediaan tinggi (HA) hanya dengan satu antarmuka aktif dan satu alamat IP eksternal. Namun, konfigurasi ini tidak memberikan SLA ketersediaan.

Salah satu opsi untuk menggunakan VPN dengan ketersediaan tinggi (HA) adalah menggunakan VPN dengan ketersediaan tinggi (HA) melalui Cloud Interconnect. Dengan VPN dengan ketersediaan tinggi (HA) melalui Cloud Interconnect, Anda mendapatkan keamanan enkripsi IPsec dari Cloud VPN bersama dengan peningkatan kapasitas Cloud Interconnect. Selain itu, karena Anda menggunakan Cloud Interconnect, traffic jaringan Anda tidak pernah melewati internet publik. Jika menggunakan Partner Interconnect, Anda harus menambahkan enkripsi IPsec ke traffic Cloud Interconnect untuk memenuhi persyaratan kepatuhan dan keamanan data saat terhubung ke penyedia pihak ketiga. VPN dengan ketersediaan tinggi (HA) menggunakan resource gateway VPN eksternal di Google Cloud untuk memberikan informasi ke Google Cloud tentang gateway VPN peer atau gateway Anda.

Dalam dokumentasi API dan perintah gcloud, gateway VPN dengan ketersediaan tinggi (HA) disebut sebagai gateway VPN, bukan gateway VPN target. Anda tidak perlu membuat aturan penerusan untuk gateway VPN dengan ketersediaan tinggi (HA).

VPN dengan ketersediaan tinggi (HA) dapat memberikan SLA ketersediaan 99,99% atau 99,9%, bergantung pada topologi atau skenario konfigurasi. Untuk mengetahui informasi selengkapnya tentang topologi VPN dengan ketersediaan tinggi (HA) dan SLA yang didukung, lihat Topologi VPN dengan ketersediaan tinggi (HA).

Saat menyiapkan VPN dengan ketersediaan tinggi (HA), pertimbangkan panduan berikut:

  • Saat Anda menghubungkan gateway VPN dengan ketersediaan tinggi (HA) ke gateway VPN dengan ketersediaan tinggi (HA), gateway tersebut harus menggunakan jenis stack IP yang identik. Misalnya, jika Anda membuat gateway VPN dengan ketersediaan tinggi (HA) dengan jenis stack IPV4_IPV6, gateway VPN dengan ketersediaan tinggi (HA) lainnya juga harus ditetapkan ke IPV4_IPV6.

  • Konfigurasikan dua tunnel VPN dari perspektif gateway Cloud VPN:

    • Jika Anda memiliki dua perangkat gateway VPN peer, setiap tunnel dari setiap antarmuka di gateway Cloud VPN harus terhubung ke gateway peer-nya sendiri.
    • Jika Anda memiliki satu perangkat gateway VPN peer dengan dua antarmuka, setiap tunnel dari setiap antarmuka di gateway Cloud VPN harus terhubung ke antarmukanya sendiri di gateway peer.
    • Jika Anda memiliki satu perangkat gateway VPN peer dengan satu antarmuka, kedua tunnel dari setiap antarmuka di gateway Cloud VPN harus terhubung ke antarmuka yang sama di gateway peer.
  • Perangkat VPN peer harus dikonfigurasi dengan redundansi yang memadai. Vendor perangkat menentukan detail konfigurasi redundan yang memadai, yang mungkin mencakup beberapa instance hardware. Untuk mengetahui detailnya, lihat dokumentasi vendor untuk perangkat VPN peer.

    Jika dua perangkat peer diperlukan, setiap perangkat peer harus terhubung ke antarmuka gateway VPN dengan ketersediaan tinggi (HA) yang berbeda. Jika sisi peer adalah penyedia cloud lain seperti AWS, koneksi VPN juga harus dikonfigurasi dengan redundansi yang memadai di sisi AWS.

  • Perangkat gateway VPN peer Anda harus mendukung perutean Border Gateway Protocol (BGP) dinamis.

    Diagram berikut menunjukkan konsep VPN dengan ketersediaan tinggi (HA), yang menunjukkan topologi yang mencakup dua antarmuka gateway VPN dengan ketersediaan tinggi (HA) yang terhubung ke dua gateway VPN peer. Untuk mengetahui topologi VPN dengan ketersediaan tinggi (HA) yang lebih mendetail (skenario konfigurasi), lihat Topologi VPN dengan ketersediaan tinggi (HA).

    Gateway VPN dengan ketersediaan tinggi (HA) ke dua gateway VPN peer.
    Gateway VPN dengan ketersediaan tinggi (HA) ke dua gateway VPN peer (klik untuk memperbesar).

VPN Klasik

Semua gateway Cloud VPN yang dibuat sebelum diperkenalkannya VPN dengan ketersediaan tinggi (HA) akan dianggap sebagai gateway VPN Klasik. Untuk mengetahui informasi tentang cara beralih dari VPN Klasik ke VPN dengan ketersediaan tinggi (HA), lihat Beralih dari VPN Klasik ke VPN dengan ketersediaan tinggi (HA).

Berbeda dengan VPN dengan ketersediaan tinggi (HA), gateway VPN Klasik memiliki satu antarmuka, satu alamat IP eksternal, dan mendukung tunnel yang menggunakan perutean statis (berbasis kebijakan atau berbasis rute). Anda juga dapat mengonfigurasi perutean dinamis (BGP) untuk VPN Klasik, tetapi hanya untuk tunnel yang terhubung ke software gateway VPN pihak ketiga yang berjalan di instance VM Google Cloud.

Gateway VPN klasik menyediakan SLA ketersediaan layanan 99,9%.

Gateway VPN klasik tidak mendukung IPv6.

Untuk topologi VPN Klasik yang didukung, lihat halaman Topologi VPN klasik.

VPN klasik disebut sebagai gateway VPN target dalam dokumentasi API dan di Google Cloud CLI.

Tabel perbandingan

Tabel berikut membandingkan fitur VPN dengan ketersediaan tinggi (HA) dengan fitur VPN Klasik.

Fitur VPN dengan ketersediaan tinggi (HA) VPN Klasik
SLA Memberikan SLA 99,99% untuk sebagian besar topologi, dengan beberapa pengecualian. Untuk mengetahui informasi selengkapnya, lihat Topologi VPN dengan ketersediaan tinggi (HA). Memberikan SLA sebesar 99,9%.
Pembuatan alamat IP eksternal dan aturan penerusan Alamat IP eksternal yang dibuat dari kumpulan; tidak diperlukan aturan penerusan. Alamat IP eksternal dan aturan penerusan harus dibuat.
Opsi perutean yang didukung Hanya perutean dinamis (BGP). Perutean statis (berbasis kebijakan, berbasis rute). Perutean dinamis hanya didukung untuk tunnel yang terhubung ke software gateway VPN pihak ketiga yang berjalan di instance VM Google Cloud.
Dua tunnel dari satu gateway Cloud VPN ke gateway peer yang sama Didukung Tidak didukung
Hubungkan gateway Cloud VPN ke VM Compute Engine dengan alamat IP eksternal. Topologi yang didukung dan direkomendasikan. Untuk mengetahui informasi selengkapnya, lihat Topologi VPN dengan ketersediaan tinggi (HA). Didukung.
Resource API Dikenal sebagai resource vpn-gateway. Dikenal sebagai resource target-vpn-gateway.
Traffic IPv6 Didukung (konfigurasi dual stack IPv4 dan IPv6) Tidak didukung

Spesifikasi

Cloud VPN memiliki spesifikasi berikut:

  • Cloud VPN hanya mendukung konektivitas VPN IPsec situs ke situs, sesuai dengan persyaratan yang tercantum di bagian ini. Metode ini tidak mendukung skenario client-to-gateway. Dengan kata lain, Cloud VPN tidak mendukung kasus penggunaan saat komputer klien perlu "menghubungi" ke VPN dengan menggunakan software VPN klien.

    Cloud VPN hanya mendukung IPsec. Teknologi VPN lainnya (seperti SSL VPN) tidak didukung.

  • Cloud VPN dapat digunakan dengan jaringan VPC dan jaringan lama. Untuk jaringan VPC, sebaiknya gunakan jaringan VPC mode kustom agar Anda memiliki kontrol penuh atas rentang alamat IP yang digunakan oleh subnet dalam jaringan.

    • Gateway VPN Klasik dan VPN dengan ketersediaan tinggi (HA) menggunakan alamat IPv4 eksternal (internet routable). Hanya traffic ESP, UDP 500, dan UDP 4500 yang diizinkan ke alamat ini. Hal ini berlaku untuk alamat Cloud VPN yang dikonfigurasi oleh Anda untuk VPN Klasik atau untuk alamat IP yang ditetapkan secara otomatis untuk VPN dengan ketersediaan tinggi (HA).

    • Jika rentang alamat IP untuk subnet lokal tumpang-tindih dengan alamat IP yang digunakan oleh subnet di jaringan VPC, lihat Urutan rute untuk menentukan cara mengatasi konflik perutean.

  • Traffic Cloud VPN berikut tetap berada dalam jaringan produksi Google:

    • Di antara dua gateway VPN dengan ketersediaan tinggi (HA)
    • Di antara dua gateway VPN Klasik
    • Antara gateway VPN Klasik atau VPN dengan ketersediaan tinggi (HA) dan alamat IP eksternal VM Compute Engine yang berfungsi sebagai gateway VPN
  • Cloud VPN dapat digunakan dengan Akses Google Pribadi untuk host lokal. Untuk informasi selengkapnya, lihat Opsi akses pribadi untuk layanan.

  • Setiap gateway Cloud VPN harus terhubung ke gateway VPN Cloud lain atau gateway VPN peer.

  • Gateway VPN peer harus memiliki alamat IPv4 eksternal statis (internet routable). Anda memerlukan alamat IP ini untuk mengonfigurasi Cloud VPN.

    • Jika gateway VPN peer Anda berada di belakang aturan firewall, Anda harus mengonfigurasi aturan firewall agar meneruskan protokol ESP (IPsec) dan traffic IKE (UDP 500 dan UDP 4500) ke gateway tersebut. Jika aturan firewall menyediakan terjemahan alamat jaringan (NAT), lihat Enkapsulasi UDP dan NAT-T.
  • Cloud VPN mengharuskan gateway VPN peer dikonfigurasi untuk mendukung prafragmentasi. Paket harus difragmentasi sebelum dienkapsulasi.

  • Cloud VPN menggunakan deteksi replay dengan jendela paket 4096. Anda tidak dapat menonaktifkannya.

  • Cloud VPN mendukung traffic enkapsulasi perutean generik (GRE). Dukungan untuk GRE memungkinkan Anda menghentikan traffic GRE di VM dari internet (alamat IP eksternal) dan Cloud VPN atau Cloud Interconnect (alamat IP internal). Lalu lintas yang didekapsulasi kemudian dapat diteruskan ke tujuan yang dapat dijangkau. Dengan GRE, Anda dapat menggunakan layanan seperti Secure Access Service Edge (SASE) dan SD-WAN. Anda harus membuat aturan firewall untuk mengizinkan traffic GRE.

  • Tunnel VPN dengan ketersediaan tinggi (HA) mendukung pertukaran traffic IPv6, tetapi tunnel VPN Klasik tidak.

Bandwidth jaringan

Setiap tunnel Cloud VPN tunnel supports up to mendukung hingga 250,000 paket per detik untuk jumlah traffic masuk dan keluar. Bergantung pada ukuran paket rata-rata di tunnel, 250.000 paket per detik setara dengan bandwidth antara 1 Gbps dan 3 Gbps.

Metrik yang terkait dengan batas ini adalah Sent bytes dan Received bytes, yang dijelaskan dalam Lihat log dan metrik. Pertimbangkan bahwa unit untuk metrik adalah byte, sedangkan batas 3 Gbps mengacu pada bit per detik. Saat dikonversi ke byte, batasnya adalah 375 megabyte per detik (MBps). Saat mengukur penggunaan terhadap batas, gunakan jumlah Sent bytes dan Received bytes dibandingkan dengan batas 375 MBps yang dikonversi.

Untuk mengetahui informasi tentang cara membuat kebijakan pemberitahuan, lihat Tentukan pemberitahuan untuk bandwidth tunnel VPN.

Faktor yang memengaruhi bandwidth

Bandwidth dipengaruhi oleh sejumlah faktor, termasuk hal berikut:

  • Koneksi jaringan antara gateway Cloud VPN dan gateway peer Anda:

    • Bandwidth jaringan antara dua gateway. Jika Anda telah menjalin hubungan Peering Langsung dengan Google, throughput akan lebih tinggi daripada traffic VPN Anda yang dikirim melalui internet publik.

    • Waktu round-trip (RTT) dan paket hilang. Peningkatan RTT atau tingkat kehilangan paket sangat mengurangi kinerja TCP.

  • Kemampuan gateway VPN peer Anda. Untuk informasi selengkapnya, lihat dokumentasi perangkat Anda.

  • Ukuran paket. Cloud VPN menggunakan protokol IPsec dalam mode tunnel, yang mengenkapsulasi dan mengenkripsi seluruh paket IP dalam Encapsulating Security Payload (ESP), lalu menyimpan data ESP dalam paket IP kedua yang berada di luar. Akibatnya, ada MTU gateway untuk paket yang dienkapsulasi IPsec dan MTU payload untuk paket sebelum dan sesudah enkapsulasi IPsec. Untuk mengetahui detailnya, lihat pertimbangan MTU.

  • Tarif paket. Untuk traffic masuk dan keluar, tingkat paket maksimum yang direkomendasikan untuk setiap tunnel Cloud VPN adalah 250,000 paket per detik (pps). Jika perlu mengirim paket dengan kecepatan yang lebih tinggi, Anda harus membuat lebih banyak tunnel VPN.

Saat mengukur bandwidth TCP tunnel VPN, Anda harus mengukur lebih dari satu streaming TCP secara bersamaan. Jika Anda menggunakan alat iperf, gunakan parameter -P untuk menentukan jumlah streaming secara serentak.

Dukungan IPv6

Cloud VPN mendukung IPv6 di VPN dengan ketersediaan tinggi (HA), tetapi tidak mendukung VPN Klasik.

Untuk mendukung traffic IPv6 di tunnel VPN dengan ketersediaan tinggi (HA), lakukan hal berikut:

  • Gunakan jenis stack IPV6_ONLY atau IPV4_IPV6 saat membuat gateway dan tunnel VPN dengan ketersediaan tinggi (HA) yang menghubungkan jaringan VPC yang mendukung IPv6 dengan jaringan lain yang mendukung IPv6. Jaringan ini dapat berupa jaringan lokal, jaringan multicloud, atau jaringan VPC lainnya.

  • Sertakan subnet dual-stack di jaringan VPC yang mengaktifkan IPv6. Selain itu, pastikan untuk menetapkan rentang IPv6 internal ke subnet.

Tabel berikut merangkum alamat IP eksternal yang diizinkan untuk setiap jenis stack gateway VPN dengan ketersediaan tinggi (HA).

Jenis stack Alamat IP eksternal gateway yang didukung
IPV4_ONLY IPv4
IPV4_IPV6 IPv4, IPv6
IPV6_ONLY IPv6

Batasan kebijakan organisasi untuk IPv6

Anda dapat menonaktifkan pembuatan semua resource hybrid IPv6 di project dengan menyetel kebijakan organisasi berikut ke true:

  • constraints/compute.disableHybridCloudIpv6

Untuk VPN dengan ketersediaan tinggi (HA), tindakan ini mencegah pembuatan gateway VPN dengan ketersediaan tinggi (HA) dual-stack dan gateway VPN dengan ketersediaan tinggi (HA) khusus IPv6 dalam project.

Jenis stack dan sesi BGP

Gateway VPN dengan ketersediaan tinggi (HA) mendukung berbagai jenis stack. Jenis stack gateway VPN dengan ketersediaan tinggi (HA) menentukan versi traffic IP yang diizinkan di tunnel VPN dengan ketersediaan tinggi (HA) Anda.

Saat membuat tunnel VPN dengan ketersediaan tinggi (HA) untuk gateway VPN dengan ketersediaan tinggi (HA) dual-stack, Anda dapat membuat sesi BGP IPv6 untuk pertukaran rute IPv6, atau sesi BGP IPv4 yang menukar rute IPv6 dengan menggunakan BGP multiprotokol (MP-BGP).

Tabel berikut merangkum jenis sesi BGP yang didukung untuk setiap jenis stack.

Jenis stack Sesi BGP yang didukung Alamat IP eksternal gateway
Stack tunggal (khusus IPv4) BGP IPv4, tanpa MP-BGP IPv4
Stack tunggal (khusus IPv6) BGP IPv6, tanpa MP-BGP IPv6
Stack ganda (IPv4 dan IPv6)
  • BGP IPv4, dengan atau tanpa MP-BGP
  • BGP IPv6, dengan atau tanpa MP-BGP
  • BGP IPv4 dan BGP IPv6, tanpa MP-BGP
IPv4 dan IPv6

Untuk informasi selengkapnya tentang sesi BGP, lihat Membangun sesi BGP dalam dokumentasi Cloud Router.

Gateway khusus IPv4 single-stack

Secara default, gateway VPN dengan ketersediaan tinggi (HA) ditetapkan jenis stack khusus IPv4 dan secara otomatis ditetapkan dua alamat IPv4 eksternal.

Gateway VPN dengan ketersediaan tinggi (HA) khusus IPv4 hanya dapat mendukung traffic IPv4.

Gunakan prosedur berikut untuk membuat gateway VPN dengan ketersediaan tinggi (HA) khusus IPv4 dan sesi BGP IPv4.

Gateway khusus IPv6 stack tunggal

Gateway VPN dengan ketersediaan tinggi (HA) khusus IPv6 hanya mendukung traffic IPv6. Secara default, gateway VPN dengan ketersediaan tinggi (HA) khusus IPv6 ditetapkan dua alamat IPv6 eksternal.

Gunakan prosedur berikut untuk membuat gateway VPN dengan ketersediaan tinggi (HA) khusus IPv6 dan sesi BGP IPv6.

Gateway IPv4 dan IPv6 stack ganda

Gateway VPN dengan ketersediaan tinggi (HA) yang dikonfigurasi dengan jenis stack ganda (IPv4 dan IPv6) dapat mendukung traffic IPv4 dan IPv6.

Untuk gateway VPN dengan ketersediaan tinggi (HA) dual-stack, Anda dapat mengonfigurasi Cloud Router dengan sesi BGP IPv4, sesi BGP IPv6, atau keduanya. Jika hanya mengonfigurasi satu sesi BGP, Anda dapat mengaktifkan MP-BGP untuk mengizinkan sesi tersebut menukar rute IPv4 dan IPv6. Jika membuat sesi BGP IPv4 dan sesi BGP IPv6, Anda tidak dapat mengaktifkan MP-BGP di salah satu sesi tersebut.

Untuk bertukar rute IPv6 di sesi BGP IPv4 menggunakan MP-BGP, Anda harus mengonfigurasi sesi tersebut dengan alamat next hop IPv6. Demikian pula, untuk menukar rute IPv4 di sesi BGP IPv6 menggunakan MP-BGP, Anda harus mengonfigurasi sesi tersebut dengan alamat next hop IPv4. Anda dapat mengonfigurasi alamat next hop ini secara manual atau otomatis.

Jika mengonfigurasi alamat next hop secara manual, Anda harus memilihnya dari rentang IPv6 Global Unicast Address (GUA) milik Google 2600:2d00:0:2::/63, atau dari rentang alamat link-local IPv4 169.254.0.0./16. Rentang alamat IP ini dialokasikan sebelumnya oleh Google. Alamat IP next hop yang Anda pilih harus unik di semua Cloud Router dalam jaringan VPC.

Jika Anda memilih konfigurasi otomatis, Google Cloud akan memilih alamat IP next hop untuk Anda.

Gunakan prosedur berikut untuk membuat gateway VPN dengan ketersediaan tinggi (HA) stack ganda dan semua sesi BGP yang didukung.

Dukungan IPsec dan IKE

Cloud VPN mendukung IKEv1 dan IKEv2 dengan menggunakan kunci pre-shared IKE (rahasia bersama) dan cipher IKE. Cloud VPN hanya mendukung kunci pre-shared key untuk autentikasi. Saat Anda create the Cloud VPN tunnel, membuat tunnel VPN Cloud, tentukan pre-shared key. Saat Anda membuat tunnel di gateway peer, tentukan pre-shared key yang sama ini.

Cloud VPN mendukung ESP dalam mode tunnel dengan autentikasi, tetapi tidak mendukung AH atau ESP dalam mode transportasi .

Anda harus menggunakan IKEv2 untuk mengaktifkan traffic IPv6 di VPN dengan ketersediaan tinggi (HA).

Cloud VPN tidak melakukan pemfilteran terkait kebijakan pada paket autentikasi yang masuk. Paket keluar difilter berdasarkan rentang IP yang dikonfigurasi di gateway Cloud VPN.

Untuk panduan membuat pre-shared key yang kuat, lihat Membuat pre-shared key yang kuat. Untuk cipher dan parameter konfigurasi yang didukung oleh Cloud VPN, lihat Cipher IKE yang didukung.

IKE dan deteksi peer mati

Cloud VPN mendukung deteksi peer yang mati (DPD), sesuai dengan bagian Protokol DPD dalam RFC 3706.

Untuk memverifikasi bahwa peer aktif, Cloud VPN dapat mengirimkan paket DPD kapan saja, sesuai dengan RFC 3706. Jika permintaan DPD tidak ditampilkan setelah beberapa percobaan ulang, Cloud VPN mengetahui bahwa tunnel VPN tidak responsif. Tunnel VPN yang tidak responsif selanjutnya menyebabkan penghapusan rute yang menggunakan tunnel ini sebagai next-hop (rute BGP atau rute statis) yang memicu failover traffic VM ke tunnel VPN lain yang responsif.

Interval DPD tidak dapat dikonfigurasi di Cloud VPN.

Enkapsulasi UDP dan NAT-T

Untuk mengetahui informasi tentang cara mengonfigurasi perangkat peer Anda agar mendukung NAT-Traversal (NAT-T) dengan Cloud VPN, lihat enkapsulasi UDP di Ringkasan lanjutan.

Cloud VPN sebagai jaringan transfer data

Sebelum Anda menggunakan Cloud VPN, tinjau Pasal 2 Persyaratan Layanan Umum untuk Google Cloud dengan cermat.

Dengan menggunakan Network Connectivity Center, Anda dapat menggunakan tunnel VPN dengan ketersediaan tinggi (HA) untuk menghubungkan jaringan lokal secara bersamaan, yang meneruskan traffic di antara jaringan tersebut sebagai jaringan transfer data. Anda menghubungkan jaringan dengan memasang sepasang tunnel ke spoke Network Connectivity Center untuk setiap lokasi lokal. Anda kemudian menghubungkan setiap spoke ke hub Network Connectivity Center.

Untuk informasi selengkapnya tentang Network Connectivity Center, lihat Ringkasan Network Connectivity Center.

Membawa dukungan IP (BYOIP) Anda sendiri

Untuk mengetahui informasi tentang penggunaan alamat BYOIP dengan Cloud VPN, lihat Dukungan untuk alamat BYOIP.

Opsi pemilihan rute aktif-aktif dan aktif-pasif untuk VPN dengan ketersediaan tinggi (HA)

Jika tunnel Cloud VPN tidak aktif, tunnel tersebut akan dimulai ulang secara otomatis. Jika seluruh perangkat VPN virtual gagal, Cloud VPN akan otomatis membuat instance perangkat VPN virtual baru dengan konfigurasi yang sama. Gateway dan tunnel baru terhubung secara otomatis.

Tunnel VPN yang terhubung ke gateway VPN dengan ketersediaan tinggi (HA) harus menggunakan perutean dinamis (BGP). Tergantung cara Anda mengonfigurasi prioritas rute untuk tunnel VPN dengan ketersediaan tinggi (HA), Anda dapat membuat konfigurasi perutean aktif-aktif atau aktif-pasif. Untuk kedua konfigurasi perutean ini, kedua tunnel VPN tetap aktif.

Tabel berikut membandingkan fitur konfigurasi perutean aktif-aktif atau aktif-pasif.

Fitur Aktif-aktif Aktif-pasif
Throughput Throughput agregat efektif adalah throughput gabungan dari kedua tunnel. Setelah dikurangi dari dua tunnel aktif menjadi satu, throughput keseluruhan yang efektif akan dikurangi menjadi setengahnya, yang dapat mengakibatkan konektivitas yang lebih lambat atau paket yang hilang.
Pemberitahuan rute

Gateway peer Anda mengiklankan rute jaringan peer dengan nilai multi-exit discriminator (MED) yang identik untuk setiap tunnel.

Cloud Router yang mengelola tunnel Cloud VPN mengimpor rute ini sebagai rute dinamis kustom di jaringan VPC Anda dengan prioritas yang sama.

Traffic keluar yang dikirim ke jaringan peer Anda menggunakan pemilihan rute multilokasi yang setara (ECMP.

Cloud Router yang sama menggunakan prioritas yang sama untuk mengiklankan rute ke jaringan VPC Anda.

Gateway peer Anda menggunakan ECMP untuk menggunakan rute ini guna mengirim traffic keluar ke Google Cloud.

Gateway peer Anda mengiklankan rute jaringan peer dengan nilai MED yang berbeda untuk setiap tunnel.

Cloud Router yang mengelola tunnel Cloud VPN mengimpor rute ini sebagai rute dinamis kustom di jaringan VPC Anda dengan prioritas yang berbeda.

Traffic keluar yang dikirim ke jaringan peer Anda akan menggunakan rute dengan prioritas tertinggi, selama tunnel terkait tersedia.

Cloud Router yang sama menggunakan prioritas yang berbeda untuk setiap tunnel untuk memberitahukan rute ke jaringan VPC Anda.

Gateway peer Anda hanya dapat menggunakan tunnel dengan prioritas tertinggi untuk mengirim traffic ke Google Cloud.

Failover

Jika tunnel menjadi tidak responsif—misalnya, karena DPD tidak aktif, Cloud Router akan menarik rute yang dipelajari yang hop berikutnya adalah tunnel yang tidak tersedia.

Jika sesi BGP tidak aktif, Cloud Router akan menghapus rute yang dipelajari yang hop berikutnya adalah tunnel yang tidak tersedia, tanpa menyebabkan tunnel menjadi tidak responsif.

Proses penarikan dapat memakan waktu 40-60 detik, dan selama itu diperkirakan paket hilang.

Jika tunnel menjadi tidak responsif—misalnya, karena DPD tidak aktif, Cloud Router akan menarik rute yang dipelajari yang hop berikutnya adalah tunnel yang tidak tersedia.

Jika sesi BGP tidak aktif, Cloud Router akan menghapus rute yang dipelajari yang hop berikutnya adalah tunnel yang tidak tersedia, tanpa menyebabkan tunnel menjadi tidak responsif.

Proses penarikan dapat memerlukan waktu 40-60 detik, dan selama itu diperkirakan paket hilang.

Menggunakan maksimum satu tunnel pada satu waktu sehingga tunnel kedua mampu menangani semua bandwidth keluar Anda jika tunnel pertama gagal dan perlu mengalami failover.

Perutean aktif-pasif di topologi mesh penuh

Jika menerima awalan yang sama dengan nilai MED yang berbeda melalui antarmuka Cloud VPN tertentu, Cloud Router hanya akan mengimpor rute dengan prioritas tertinggi ke jaringan VPC. Rute tidak aktif lainnya tidak terlihat di Konsol Google Cloud atau melalui Google Cloud CLI. Jika rute dengan prioritas tertinggi menjadi tidak tersedia, Cloud Router akan menariknya dan otomatis mengimpor rute terbaik berikutnya ke jaringan VPC.

Menggunakan beberapa tunnel atau gateway

Bergantung pada konfigurasi gateway peer, Anda dapat membuat rute sehingga beberapa traffic melintasi satu tunnel dan traffic lainnya melintasi tunnel lain karena prioritas rute (nilai MED). Demikian pula, Anda dapat menyesuaikan prioritas dasar yang digunakan Cloud Router untuk berbagi rute jaringan VPC Anda. Situasi ini menunjukkan kemungkinan konfigurasi perutean yang tidak sepenuhnya aktif-aktif maupun murni aktif-pasif.

Saat menggunakan gateway VPN dengan ketersediaan tinggi (HA), sebaiknya gunakan konfigurasi pemilihan rute aktif-pasif. Dengan konfigurasi ini, kapasitas bandwidth yang diamati pada saat operasi tunnel normal akan sesuai dengan kapasitas bandwidth yang diamati selama failover. Jenis konfigurasi ini lebih mudah dikelola karena batas bandwidth yang diamati tetap konstan, kecuali untuk skenario multi-gateway yang dijelaskan sebelumnya.

Saat menggunakan beberapa gateway VPN dengan ketersediaan tinggi (HA), sebaiknya gunakan konfigurasi pemilihan rute aktif-aktif. Dengan konfigurasi ini, kapasitas bandwidth yang diamati pada saat operasi tunnel normal adalah dua kali lipat dari kapasitas bandwidth maksimum. Namun, konfigurasi ini secara efektif sesuai dengan penyediaan tunnel dan dapat menyebabkan penurunan traffic jika terjadi failover.

Membatasi alamat IP peer melalui tunnel Cloud VPN

Jika Anda adalah Administrator Kebijakan Organisasi (roles/orgpolicy.policyAdmin), Anda dapat membuat batasan kebijakan yang membatasi alamat IP yang dapat ditentukan pengguna untuk gateway VPN peer.

Pembatasan ini berlaku untuk semua tunnel Cloud VPN—baik VPN Klasik maupun VPN dengan ketersediaan tinggi (HA)—di project, folder, atau organisasi tertentu.

Untuk langkah-langkah yang menjelaskan cara membatasi alamat IP, lihat Membatasi alamat IP untuk gateway VPN peer.

Memvisualisasikan dan memantau koneksi Cloud VPN

Network Topology adalah alat visualisasi yang menunjukkan topologi jaringan VPC, konektivitas hybrid ke dan dari jaringan lokal, serta metrik terkait. Anda dapat melihat gateway Cloud VPN dan tunnel VPN sebagai entity dalam tampilan Topologi Jaringan.

Entity dasar adalah hierarki level terendah dalam hierarki tertentu dan mewakili resource yang dapat berkomunikasi langsung dengan resource lain melalui jaringan. Network Topology menggabungkan entity dasar menjadi entity hierarkis yang dapat Anda luaskan atau ciutkan. Saat Anda pertama kali melihat grafik Topologi Jaringan, grafik ini menggabungkan semua entity dasar ke dalam hierarki level teratas.

Misalnya, Network Topology menggabungkan tunnel VPN ke dalam koneksi gateway VPN. Anda dapat melihat hierarki dengan meluaskan atau menciutkan ikon gateway VPN.

Untuk mengetahui informasi selengkapnya, lihat ringkasan Topologi Jaringan.

Pemeliharaan dan ketersediaan

Cloud VPN menjalani pemeliharaan berkala. Selama pemeliharaan, tunnel Cloud VPN dialihkan ke offline, yang mengakibatkan penurunan singkat pada traffic jaringan. Saat pemeliharaan selesai, tunnel Cloud VPN akan otomatis dibuat kembali.

Pemeliharaan untuk Cloud VPN adalah tugas operasional normal yang dapat terjadi kapan saja tanpa pemberitahuan sebelumnya. Periode pemeliharaan didesain agar cukup singkat sehingga SLA Cloud VPN tidak terpengaruh.

VPN dengan ketersediaan tinggi (HA) adalah metode yang direkomendasikan untuk mengonfigurasi VPN dengan ketersediaan tinggi. Untuk opsi konfigurasi, lihat halaman topologi VPN dengan ketersediaan tinggi (HA). Jika Anda menggunakan VPN Klasik untuk opsi redundansi dan throughput tinggi, lihat halaman topologi VPN klasik.

Praktik terbaik

Untuk membuat Cloud VPN secara efektif, gunakan praktik terbaik ini.

Langkah selanjutnya